Bankowość i usługi płatnicze /

Nadchodzące zmiany dla instytucji płatniczych w Polsce w zakresie zdalnego onboardingu

Od 2 października 2023 roku wejdą w życie wytyczne Europejskiego Urzędu Nadzoru Bankowego (dalej: „EUNB”) dotyczące wykorzystania rozwiązań w zakresie zdalnego nawiązywania relacji z klientami (EBA/GL/2022/15) – tzw. „zdalnego onboardingu”. Wytyczne będą miały zastosowanie do wszystkich instytucji kredytowych i finansowych, które są objęte zakresem dyrektywy w sprawie przeciwdziałania praniu pieniędzy (m.in.: krajowych instytucji płatniczych, małych instytucji płatniczych, biur usług płatniczych, przedsiębiorstw zbiorowego inwestowania wprowadzających do obrotu swoje jednostki lub akcje, pośredników ubezpieczeniowych, kantorów wymiany walut – dalej zbiorczo „Instytucji”). Wytyczne są neutralne technologicznie i nie dają pierwszeństwa w stosowaniu jednego narzędzia przed drugim.

Wytyczne EUNB wprowadzają szereg obowiązków, które obejmować będą w szczególności konieczność:

  1. wdrożenia polityk i procedur zdalnego onboardingu, w treści których uwzględnione będą:
  1. ogólny opis wprowadzonych rozwiązań technologicznych, jakie Instytucje stosują do gromadzenia, weryfikowania i rejestrowania informacji w trakcie takiego procesu obejmujący wyjaśnienie cech i sposobu funkcjonowania rozwiązania,
  2. sytuacje, w których można stosować rozwiązanie do zdalnej nawiązywania relacji z klientem, z uwzględnieniem czynników ryzyka zidentyfikowanych i ocenionych zgodnie z art. 8 (1) dyrektywy (UE) 2015/849 oraz w ocenie ryzyka w skali całego przedsiębiorstwa,
  3. informacje, które czynności będą wykonywanie w procesie w pełni autonomicznie, a które manualnie,
  4. opis stosowanych środków kontroli, które  zapewnią, że pierwsza transakcja z nowo przyjętym klientem będzie realizowana dopiero po zastosowaniu wszystkich wstępnych środków należytej staranności wobec klienta,
  5. opis programów wprowadzających i regularnych szkoleń w celu zapewnienia, aby pracownicy mieli świadomość i aktualną wiedzę na temat funkcjonowania rozwiązania do zdalnego onboardingu klienta, związanego z tym ryzyka oraz polityki i procedur mających na celu ograniczenie tego ryzyka;
  1. przeprowadzenia oceny przedwdrożeniowej, która będzie zawierać co najmniej:
  1. ocenę adekwatności rozwiązania w zakresie kompletności i dokładności danych i dokumentów, które mają być zbierane, jak również wiarygodności i niezależności źródeł informacji, wykorzystywanych w ramach danego rozwiązania,
  2. ocenę wpływu korzystania z rozwiązania do zdalnego przyjmowania klientów na ryzyko ogólnobiznesowe, w tym ryzyko związane z praniem pieniędzy i finansowaniem terroryzmu („PP/FT”), operacyjne, utraty reputacji i prawne,
  3. określenie możliwych środków łagodzących i działań zaradczych dla każdego ryzyka zidentyfikowanego w ramach oceny na podstawie lit. b) powyżej,
  4. testy mające na celu ocenę ryzyka nadużyć finansowych, w tym ryzyka podszywania się pod inne osoby oraz ryzyka związanego z technologią informacyjną i komunikacyjną („ICT„) oraz ryzyka związanego z bezpieczeństwem, zgodnie z zapisem 43 wytycznych EUNB EBA/GL/2019/04,
  5. kompleksowe testy funkcjonowania rozwiązania skierowanego do klientów, produktów oraz usług określonych w polityce i procedurach zdalnego onboardingu klienta;
  1. bieżącego monitorowania rozwiązania wykorzystywanego do zdalnego onboardingu klienta (przykładowo – (i) testy jakościowe, (ii) automatyczne krytyczne alarmy i powiadomienia, (iii) automatyczne sprawozdania dotyczące jakości, (iii) testowanie wyrywkowe, (iv) przeglądy manualne. Instytucje zobowiązane są do dokumentowania przeprowadzonych czynności sprawdzających;
  2. ujęcia w wewnętrznych procedurach zapisów dotyczących dokumentów, danych lub informacji z których Instytucja ta będzie korzystać w celu weryfikacji tożsamości klienta oraz sposób, w jaki informacje te będą weryfikowane. Instytucje powinny pozyskane dane przechowywać w sposób bezpieczny oraz opatrywać je znacznikiem czasu. Zapisy, w tym obrazy, filmy, dźwięki i dane powinny być dostępne w czytelnym formacie i umożliwiać instytucji ich weryfikacje ex-post;
  3. podjęcia kroków w celu upewnienia się, że kopia dokumentów klienta (jeśli Spółka nie bada oryginałów) jest wiarygodna. Instytucje powinny ustalić co najmniej:
  1. czy kopia zawiera zabezpieczenia wbudowane w oryginalny dokument oraz czy specyfikacje dokumentu oryginalnego, który jest powielany, są ważne i dopuszczalne, w szczególności rodzaj, rozmiar znaków i struktura dokumentu, poprzez porównanie ich z oficjalnymi bazami danych, takimi jak PRADO,
  2. czy dane osobowe nie zostały zmienione lub w inny sposób naruszone lub, w stosownych przypadkach czy zdjęcie klienta umieszczone w dokumencie nie zostało zastąpione,
  3. czy zachowana została integralność algorytmu zastosowanego do wygenerowania niepowtarzalnego numeru identyfikacyjnego numeru oryginalnego dokumentu, w przypadku gdy dokument urzędowy został wydany ze strefą do odczytu maszynowego,
  4. czy kopia ma wystarczającą jakość,
  5. czy kopia nie została wyświetlona na ekranie na podstawie zdjęcia lub skanu oryginalnego dokumentu tożsamości;


Autor team leader DKP Legal
Skontaktuj się z naszym ekspertem
Napisz wiadomość: [email protected]
check full info of team member: Aleksandra Walas

Skontaktuj się z nami

Flaga Polski.ZIELONA GÓRAPOLSKA
Jana Sobieskiego 2/3
65-071 Zielona Góra
+48 61 853 56 48[email protected]
Flaga Polski.KRAKÓWPOLSKA
Opolska 110
31-355 Kraków
+48 61 853 56 48[email protected]
Flaga Polski.WROCŁAWPOLSKA
Swobodna 1
50-088 Wrocław
+48 61 853 56 48[email protected]
Flaga Polski.WARSZAWAPOLSKA
Rondo ONZ 1
00-124 Warszawa
+48 22 300 16 74[email protected]
Flaga Polski.POZNAŃPOLSKA
Młyńska 16
61-729 Poznań
+48 61 853 56 48[email protected]